參考安全性主體
Azure Data Explorer 授權模型可讓您將 Microsoft Entra 使用者和應用程式身分識別和 Microsoft 帳戶 (MSA) 作為安全性主體使用。 本文提供 Microsoft Entra 標識碼和 MSA 支援的主體類型概觀,並示範如何使用管理命令指派安全性角色時正確參考這些主體。
Microsoft Entra 識別碼
存取叢集的建議方式是向 Microsoft Entra 服務進行驗證。 Microsoft Entra 標識碼是識別提供者,能夠驗證安全性主體,並與其他識別提供者協調,例如 Microsoft 的 Active Directory。
Microsoft Entra 識別碼支援下列驗證案例:
- 使用者驗證 (互動式登入):用來驗證人為主體。
- 應用程式驗證 (非互動式登錄) :用來驗證必須執行或驗證而不需使用者互動的服務與應用程式。
注意
- Microsoft Entra識別碼不允許驗證依定義內部部署 AD 實體的服務帳戶。 AD 服務帳戶的 Microsoft Entra 對等專案是 Microsoft Entra 應用程式。
- 僅支援安全組 (SG) 主體,不支援通訊群組 (DG) 主體。 嘗試在叢集上設定 DG 的存取權會導致錯誤。
參考 Microsoft Entra 主體和群組
下表概述參考 Microsoft Entra 用戶和應用程式主體和群組的語法。
如果您使用 用戶主體名稱 (UPN) 來參考用戶主體,則會嘗試從功能變數名稱推斷租使用者,並嘗試尋找主體。 如果找不到主體,請明確指定租使用者標識碼或名稱,以及使用者的UPN或物件識別碼。
同樣地,您可以使用 UPN格式 的群組電子郵件地址來參考安全組,並嘗試從功能變數名稱推斷租使用者。 如果找不到群組,除了群組顯示名稱或物件標識符之外,請明確指定租用戶標識碼或名稱。
| 實體類型 | Microsoft Entra 租使用者 | Syntax |
|---|---|---|
| 使用者 | 隱含 | aaduser=Upn |
| 使用者 | 明確 (識別碼) | aaduser=UPN;TenantId或 aaduser=ObjectID;TenantId |
| 使用者 | 明確 (名稱) | aaduser=UPN;TenantName或 aaduser=ObjectID;TenantName |
| 分組 | 隱含 | aadgroup=GroupEmailAddress |
| 分組 | 明確 (識別碼) | aadgroup=GroupDisplayName;TenantId或 aadgroup=GroupObjectId;TenantId |
| 分組 | 明確 (名稱) | aadgroup=GroupDisplayName;TenantName或 aadgroup=GroupObjectId;TenantName |
| 應用程式 | 明確 (識別碼) | aadapp=ApplicationDisplayName;TenantId或 aadapp=ApplicationId;TenantId |
| 應用程式 | 明確 (名稱) | aadapp=ApplicationDisplayName;TenantName或 aadapp=ApplicationId;TenantName |
注意
使用 「App」 格式來參考 受控識別, 其中 ApplicationId 是受控識別物件識別碼或受控識別用戶端 (應用程式) 識別碼。
範例
下列範例會使用使用者UPN來定義資料庫上使用者角色的 Test 主體。 未指定租用戶資訊,因此您的叢集會嘗試使用 UPN 解析 Microsoft Entra 租使用者。
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
下列範例會使用組名和租用戶名稱,將群組指派給資料庫上的 Test 使用者角色。
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
下列範例會使用應用程式識別碼和租用戶名稱,將應用程式指派給資料庫上的 Test 使用者角色。
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft 帳戶 (MSA)
支援 Microsoft 帳戶 (MSA) 的用戶驗證。 MSA 是 Microsoft 管理的非組織用戶帳戶。 例如,hotmail.com、live.com、outlook.com。
參考 MSA 主體
| IdP | 類型 | 語法 |
|---|---|---|
| Live.com | 使用者 | msauser=Upn |
範例
下列範例會將 MSA 使用者指派給資料庫上的 Test 使用者角色。
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
管理數據表的數據分割原則
- 閱讀 驗證概觀
- 瞭解如何使用 管理命令來指派安全性角色
- 瞭解如何使用 Azure 入口網站 來管理資料庫主體和角色
- current_principal_details()
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應